2020年国际注册内部审计师考试辅导资料下载中心-最新国际注册内部审计师辅导资料|国际注册内部审计师考试辅导材料|内审师考试内容|国际注册内部审计师考试辅导-首页

当前位置：

首页 >> 财会类 >> 内审师 >> 辅导资料>> 正文

2011年国际内审师考试辅导资料：系统安全(1)

发表时间：2011/7/2 16:42:51 来源：互联网点击关注微信：

关注公众号

为了帮助考生系统的复习内审师考试课程全面的了解内审师考试的相关重点，小编特编辑汇总了内审师考试相关资料，希望对您参加本次考试有所帮助！！

相关知识

系统安全是在风险分析的基础上，选择适宜的控制目标与控制方式，对系统的安全进行控制，使信息资产的风险降到组织可以接受的水平。

GenerAl Control V8.AppliCAtion Control

一般控制和应用控制

应用控制与一般控制是两个不同层次的控制手段：

· 一般控制（GenerAl Contr01）包括各种相对通用的控制手段和技术，包括：管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和数据安全控制等。

· 应用控制（AppliCAtion Control）包括和特定应用相关的、为保障应用程序正确运行而设定的控制，如输入控制（input Contr01）、处理控制（proCess Control）、输出控制（output Contr01）等。

相对于应用控制，一般控制更为基础，且其有效性不受应用控制的影响。

相反，应用控制的有效性则往往受到一般控制，尤其是操作系统访问控制的影响。当审计师审查一个应用系统的应用控制时，应首先确认该系统已经建立完善的一般控制。对于较复杂的信息系统，通常应结合使用这两种控制技术。

一般控制包括：

· 管理控制（ADministrAtive Contr01）的主要目标是实现职责分离。常见的管理控制包括：系统分析员不应该接触计算机设备、数据和程序；计算机编程人员不应该接触计算机设备、数据和已交付使用的程序；操作员不应该参与系统设计或更改程序，这样可以最好地防止拥有充分技术的人员绕过安全程序，对生产程序进行修改。

· 运行控制（operAtions Control）包括：

计算机运行控制是为确保系统的正常运行而实施的控制。例如，对不需要的文件要在受控条件下及时删除；

· 系统实施控制（implementAtion Control）是在系统开发实施过程的各个环节都建立控制点并编制文档以保证系统的实施是在适当的控制和管理之下，文档应从技术和应用两个角度说明系统是如何运行的；

· 软件控制（softwAre Control）是保证已投入运行的软件未经许可不得修改的控制；

· 硬件控制（hArDwAre Contr01）是保证硬件正常运行的控制，如回波检验（eCho CheCk）、奇偶校验（pArity CheCk）等；

· 访问控制（ACCess Contr01）是确保只有被授权用户才能实现对特定数据和资源进行访问的控制，通常特指逻辑访问控制（logiCAl ACCess Control）；

· 物理设备控制（physiCAl DeviCe Contr01）是防止对物理设备的非授权接触的控制。

应用控制包括：

· 输入控制（input Contr01）包括输入授权（input AuthorizAtion）、数据转换（DAtA Conversion）和编辑检验（eDit CheCks）。其中，编辑检验又包括合理性检验（reAsonABleness CheCks）、格式检验（formAt CheCks）、存在性检验（existenCe CheCks）、依赖性检验（DepenDenCy CheCks）（又称相关性检验）、检验位（CheCk Digit）、重新输入控制（reinput Control）等。

· 处理控制（proCessing Contr01），包括运行总数控制（run Control totAls）、计算机匹配（Computer mAtChing）、并发控制（ConCurrenCy Contr01）。

· 输出控制（output Contr01）包括平衡总数（BAlAnCing totAls）、复核处理日志（review of proCessing logs）、审核输出报告（AuDit of output report）、审核制度与文件（AuDit of proCeDures AnD DoCumentAtion）。

ACCess Control TeChnologies

访问控制技术

访问控制技术确保只有被授权用户才能实现对特定数据和资源的访问。访问控制技术可以应用在信息系统的不同层次，如操作系统访问控制、数据库访问控制、网页访问控制等。但访问控制技术的应用必须适当合理，尤其应注意系统安全性和系统可用性之间的平衡。访问控制技术包括用户身份标识（iDentifiCAtion）和鉴别（AuthentiCAtion）、访问控制列表（ACL：ACCess Control list）和审计追踪（AuDit trAils）等。

用户标识（UID：user iDentifier）：用于唯一地确定一个用户的身份，是实施访问控制的前提。

口令（pAssworDs）：鉴别用户身份的常用手段之一，通过使用口令可以明确用户的责任。例如，对应付款系统数据终端的访问控制就可以要求激活终端数据必须使用口令并对数据终端的活动进行记录，以明确该终端用户对其所进行活动应负的责任。

口令应由用户掌握和修改，还可以按用户的权限设置不同的口令等级，以防止掌握口令的人非法访问服务器上的所有用户文件。

口令应该严格保密，并且在终端输入时不应该显示。为了防止口令被猜出，可使用能够实施口令组合标准的访问控制软件；为了防止存储在系统中的口令被窃取，可使用能够实施口令加密的访问控制软件。

相关文章

2011年国际内审师考试辅导：财务会计与财务汇总

编辑推荐：

2011年内部审计师考试免费短信提醒

2011年内部审计师考试免费在线模拟考试

2011年内部审计师考试历年试题

2011年内部审计师考试辅导资料

（责任编辑：中大编辑）